Oracle Cloud Infrastructureドキュメント

「VPN接続」の概要

オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)を接続する1つの方法は、IPSec VPNである「VPN接続」を使用することです。 IPSecは「インターネット・プロトコル・セキュリティ」または「IPセキュリティ」の略です。 IPSecは、パケットが送信元から送信先に転送される前に、IPトラフィック全体を暗号化するプロトコル・スイートです。

このトピックでは、VCNのIPSec VPNの概要を示します。 IPSec VPNを含むシナリオについては、「シナリオB: VPNとのプライベート・サブネット」および「シナリオC: VPNを使用したパブリック・サブネットとプライベート・サブネット」を参照してください。

必要な人材と知識

通常、次のタイプの人員がOracle Cloud Infrastructureを使用してIPSec VPNを設定します:

  • 「Dev Opsチーム・メンバー」 (または同様の機能)で、Oracle Cloud InfrastructureConsole」を使用して仮想ネットワークとIPSec VPNに必要なクラウド・コンポーネントを設定します。
  • 「ネットワーク・エンジニア」 (または同様の機能)で、Dev Opsチーム・メンバーが提供する情報で顧客が分割する機器(CPE)デバイスを構成します。

ヒント

Dev Opsチーム・メンバーは、クラウド・コンポーネントの作成と管理に必要な権限を持っている必要があります。
Oracle Cloud Infrastructureテナンシのデフォルトの管理者であるか、「管理者グループ」のメンバーである場合は、必要な権限が付与されています。 ネットワーク・コンポーネントへのアクセスを制限する方法については、「アクセス制御」を参照してください。

担当者は、以下の概念と定義に精通している必要があります:

クラウド・リソース
クラウド・プラットフォームでプロビジョニングするもの。 たとえば、Oracle Cloud Infrastructureを使用すると、クラウド・リソースは、プラットフォーム上のVCN、コンピュート・インスタンス、ユーザー、コンパートメント、ロード・バランサ、またはその他のサービス・コンポーネントを参照できます。
オンプレミス
従来のデータセンター環境を指す、クラウド・テクノロジで広く使用されている用語。 オンプレミスとは、コロケーションのシナリオ、専用のフロア・スペース、専用のデータセンター・ビルディング、またはデスクの下にあるデスクトップのことです。
オラクル・クラウド識別子(ocid)
Oracle Cloud Infrastructureでプロビジョニングする各リソースに割り当てられた一意の識別子。 OCIDは、Oracleが自動的に生成する長い文字列です。 OCIDの値を選択することも、リソースOCIDを変更することもできません。 詳細は、「リソース識別子」を参照してください。

Oracle IPSec VPNについて

一般に、IPSecは次のモードで構成できます:

  • トランスポート・モード: IPSecはパケットの実際のペイロードのみを暗号化して認証し、ヘッダー情報は元のままです。
  • トンネル・モード(Oracleでサポート): IPSecはパケット全体を暗号化して認証します。 暗号化の後、パケットはカプセル化され、異なるヘッダー情報を有する新しいIPパケットを形成します。

Oracle Cloud Infrastructureは、IPSec VPNのトンネル・モードのみをサポートしています。

各Oracle IPSec VPNは、複数の冗長IPSecトンネルで構成されます。 特定のトンネルに対して、ボーダー・ゲートウェイ・プロトコル(BGP)動的ルーティングか、静的ルーティングのいずれかを使用してそのトンネル・トラフィックをルーティングできます。 ルーティング・フォローの詳細。

IPSec VPNのサイト・ツー・サイト・トンネルには、次の利点があります:

  • 公共インターネット明細は、データを送信するために使用されるので、専用のコストの高いリース明細はサイト間では不要です。
  • 参加しているネットワークとノードの内部IPアドレスは、外部ユーザーには表示されません。
  • 送信元と送信先の間のすべての通信が暗号化され、情報の盗難の可能性が大幅に低下します。

ノート

IPv6アドレス指定は、現在Government Cloudでのみサポートされています。
詳細は、「IPv6アドレス」を参照してください。

Oracle IPSec VPNのルーティング

IPSec VPNを作成すると、2つの冗長なIPSecトンネルが作成されます。 Oracleでは、(デバイスでサポートされている場合)両方のトンネルを使用するようにCPEデバイスを構成することをお薦めします。 Oracleは、過去、最大4つのIPSecトンネルを持つIPSec VPNを作成していました。

次の2つのルーティング・タイプを使用でき、IPSec VPNで「トンネルごと」とは別にルーティング・タイプを選択できます:

  • BGP動的ルーティング: 使用可能なルートはBGPによって動的に学習されます。 DRGは、オンプレミス・ネットワークからルートを動的に学習します。 Oracle側では、DRGによってVCNサブネットが通知されます。
  • 静的ルーティング: DRGへのIPSec接続を設定する際に、VCNが認識する対象のオンプレミス・ネットワークに特定のルートを指定します。 また、VCNサブネットに静的ルートを持つCPEデバイスを構成する必要もあります。 これらのルートは、動的には学習されません。

Oracle IPSec VPNの重要なルーティングの詳細

IPSec VPNのルーティングについて理解するために重要な詳細を次に示します:

  • ルーティングの選択肢:

    • 最初は、Oracle IPSec VPNは静的ルーティングのみをサポートしており、IPSec接続全体に対して少なくとも1つの静的ルートを提供する必要がありました。
    • 現在では、2つの異なるタイプのルーティングが使用可能です(BGPおよび静的ルーティング)。また、ルーティング・タイプとして「トンネル当り」を構成します。 「特定のトンネルに対して一度にサポートされるルーティングのタイプは1つのみです。」
    • 一般的に、Oracleでは、IPSec接続のすべてのトンネルに対して同じルーティング・タイプを使用することをお薦めします。 例外: 静的ルーティングとBGPの間で遷移するプロセスの場合、別のトンネルがBGPにすでに切り替えられている間は、一時的に静的ルーティングを使用することがあります。
    • IPSec接続を作成すると、すべてのトンネル「BGPを使用するように各トンネルを明示的に構成しない場合」のデフォルトのルーティング・タイプが静的ルーティングになります。
  • 必要なルーティング情報:

    • BGPを選択した場合は、各トンネルに対して2つのIPアドレス(トンネルBGPセッション内の2つのBGP発言それぞれに1つ)を指定する必要があります。 アドレスは、IPSec接続の暗号化ドメインに含まれている必要があります。 また、ネットワークにBGP自律型システム番号(BGP ASN)も指定する必要があります。
    • 静的ルーティングを選択する場合は、少なくとも1つの静的ルート(最大10)を指定する必要があります。 静的ルートは「IPSec接続全体」で構成されるため、静的ルーティングを使用するように構成されたIPSec接続内の「すべて」トンネルに対して、同じセットの静的ルートが使用されます。 静的ルートは、IPSec接続の作成後にいつでも変更できます。 CPEデバイスとVCNの間でPATを実行する場合、IPSec接続の静的ルートは、PAT IPアドレスです。 「PATによるレイアウトの例」を参照してください。
    • 静的ルーティングを選択する場合は、トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルの各側にIPアドレスをオプションで指定できます。
    • トンネルがBGPを使用するように構成されている場合、IPSec接続の静的ルートは無視されます。 IPSec接続に関連付けられたすべての静的ルートは、特定のトンネル・トラフィック「そのトンネルが静的ルーティングを使用するように構成されている場合のみ」のルーティングに使用されます。 この方法は、静的ルーティングを使用するIPSec VPNがあり、BGPを使用するように切り替える場合に特に関連します。
  • ルーティングの変更:

    • トンネルをBGPから静的ルーティングに変更する場合は、まずIPSec接続自体に静的ルートが1つ以上関連付けられていることを確認する必要があります。
    • 既存のトンネル経路タイプはいつでも変更できます(トンネルが現在Oracleによってプロビジョニングされている場合を除く)。 ルーティングは変更されますが、トンネルは起動したままとなります(IPSecステータスは変更されません)。 ただし、トンネルによるトラフィックは、再プロビジョニング中、およびCPEデバイスの再構成中に一時的に中断されます。 既存のIPSec VPNへの変更の詳細は、「VPN接続の操作」を参照してください。
    • 各トンネルに対してルーティング・タイプを個別に構成するため、IPSec VPNを静的ルーティングからBGPに切り替える場合は、一度に1つのトンネルに対して実行できます。 これにより、IPSec VPN全体が停止するのを回避できます。 手順については、「静的ルーティングからBGP動的ルーティングへの変更」を参照してください。

接続が複数ある場合のルートの通知およびパス・プリファレンス

BGPを使用すると、VCNにアタッチされたDRGに、CPEにルートが公開されます。

オンプレミス・ネットワークとVCNの間に複数の接続を設定する場合は、DRG通知をルーティングするもの、および目的の接続を使用するためのパス・プリファレンスの設定方法を理解する必要があります。

重要な情報は、「オンプレミス・ネットワークへの接続のルーティング詳細」を参照してください。

IPSec VPNの特定トンネルの優先順位

IPSec VPN内では、「トンネル」に影響を与えることが優先されます。 構成できるアイテムは次のとおりです:

  • CPE BGPローカル・プリファレンス: BGPを使用する場合、CPEデバイスでBGPローカル・プリファレンス属性を構成して、オンプレミス・ネットワークからVCNに開始される接続にどのトンネルを優先するかを制御できます。 Oracleは通常非対称型ルーティングを使用するため、Oracleが同じトンネルに応答する場合は、他の属性を構成する必要があります。 次の2つのアイテムを参照してください。
  • 優先トンネル上のより具体的なルート: 目的のトンネルに固有のルートを表示するようにCPEを構成できます。 Oracleでは、接続への応答時または接続の開始時に、「最長接頭辞マッチ」のルートが使用されます。
  • 先頭に追加されるASパス: BGPは最も短いASパスを選択するため、BGPを使用する場合は、先行するASパスを使用して、特定のルートの最短パスを持つトンネルを制御できます。 Oracleでは、接続への応答時または接続開始時に最短のASパスを使用します。

IPSec VPNコンポーネントの概要

基本的なネットワーキング・サービス・コンポーネントについてまだ理解していない場合は、先に進む前に「ネットワーキングの概要」を参照してください。

VCNにIPSec VPNを設定するときは、いくつかのネットワーキング・コンポーネントを作成する必要があります。 コンソールまたはAPIのいずれかを使用してコンポーネントを作成できます。 コンポーネントの次の図と説明を参照してください。

このイメージは、IPSec VPNのコンポーネントを示しています

cpeオブジェクト
IPSec VPNの最後には、オンプレミス・ネットワークの実際のデバイス(ハードウェアまたはソフトウェア)があります。 「顧客構内機器 (CPE)」という用語は、このタイプのオンプレミスの機器を参照するために、一部の業界で一般的に使用されています。 VPNを設定する場合は、デバイスの「仮想表現」を作成する必要があります。 Oracleは仮想表現をCPEと呼び出しますが、通常、このドキュメントでは「CPEオブジェクト」という用語を使用して仮想表現と実際のCPEデバイスを区別します。 CPEオブジェクトには、Oracleが必要とするデバイスに関する基本情報が含まれています。
動的ルーティング・ゲートウェイ(drg)
Oracle IPSec VPNの終わりには、動的ルーティング・ゲートウェイと呼ばれる仮想ルーターがあります。これは、オンプレミス・ネットワークからのVCNへのゲートウェイです。 オンプレミス・ネットワークとVCNを接続するためにIPSec VPNまたはOracle Cloud Infrastructure FastConnectプライベート仮想回線」を使用している場合、トラフィックはDRGを通過します。 詳細については、「動的ルーティング・ゲートウェイ(DRG)」を参照してください。
ネットワーク・エンジニアは、DRGを「VPNヘッドエンド」と考えることができます。 DRGを作成した後、コンソールまたはAPIを使用してVCNにattachする必要があります。 また、VCNからDRGにトラフィックをルーティングする1つ以上のルート・ルールを追加する必要があります。 DRGアタッチメントとルート・ルールがないと、VCNとオンプレミス・ネットワーク間のトラフィックの流れはありません。 いつでも、VCNからDRGをデタッチできますが、残りのすべてのVPNコンポーネントを維持することができます。 その後、DRGを再アタッチしたり、別のVCNにアタッチしたりすることができます。
ipsec接続
CPEオブジェクトおよびDRGの作成後、IPSec接続を作成することで接続します。この接続は、IPSec VPN全体を表す親オブジェクトと考えることができます。 IPSec接続には、独自のOCIDがあります。 このコンポーネントを作成するとき、各トンネルに使用するルーティングのタイプを構成し、関連するルーティング情報を指定します。
トンネル
IPSecトンネルは、セキュアなIPSecエンドポイント間のトラフィックを暗号化するために使用されます。 Oracleは、冗長性のために各IPSec接続に2つのトンネルを作成します。 各トンネルには独自のOCIDがあります。 Oracleは、障害が発生した場合、またはOracleがメンテナンスを行うために1つずつオフラインになる場合に、両方のトンネルをサポートするようCPEデバイスを構成することをお薦めします。 各トンネルには、「CPEデバイスの構成」時にネットワーク・エンジニアが必要とする構成情報が含まれます。 この情報には、IPアドレスと共有シークレット、およびISAKMPおよびIPSecパラメータが含まれます。 詳細は、「サポートされるIPSecパラメータ」および「検証済CPEデバイス」を参照してください。

コンポーネントのアクセス制御

アクセス制御のために、IPSec VPNを設定するときは、各コンポーネントを配置する場所でコンパートメントを指定する必要があります。 使用するコンパートメントが不明な場合は、すべてのコンポーネントをVCNと同じコンパートメントに入れます。 IPSecトンネルは、常に親IPSec接続と同じコンパートメントに存在します。 コンパートメントとネットワーク・コンポーネントへのアクセスを制限する方法については、「アクセス制御」を参照してください。

コンポーネント名と識別子

必要に応じて、コンポーネントを作成するときに各コンポーネントにわかりやすい名前を割り当てることができます。 これらの名前は一意である必要はありませんが、テナンシ全体で一意の名前を使用することがベスト・プラクティスです。 名前に機密情報を含めることは避けてください。 Oracleは自動的に各コンポーネントにOCIDを割り当てます。 詳細は、「リソース識別子」を参照してください。

CPEがNATデバイスの妨げになる場合

通常、接続の最後に構成されたCPE IKE識別子は、Oracleが使用しているCPE IKE識別子と一致している必要があります。 デフォルトでは、OracleではCPE 「パブリック」 IPアドレスが使用されます。このアドレスは、Oracle コンソールでCPEオブジェクトを作成したときに指定します。 ただし、CPEがNATデバイスより遅れている場合、次の図に示すように、最後に構成されたCPE IKE識別子がCPE「プライベート」IPアドレスになる場合があります。

このイメージは、NATデバイスの背後のCPE、パブリックIPアドレスとプライベートIPアドレス、およびCPE IKE識別子を示しています。

ノート

一部のCPEプラットフォームでは、ローカルIKE識別子を変更できません。
実行できない場合は、Oracle コンソールでリモートIKE IDを、CPEローカルIKE IDと一致するように変更する必要があります。 この値は、IPSec接続の設定時に指定することも、後でIPSec接続を編集して指定することもできます。 Oracleでは、値はcpe.example.comなどのIPアドレスまたは完全修飾ドメイン名(FQDN)のいずれかであると想定されています。 手順については、「Oracleで使用されるCPE IKE識別子の変更」を参照してください。

トンネル共有シークレットについて

各トンネルには共有シークレットがあります。 デフォルトでは、Oracleは、共有シークレットを自分で指定しないかぎり、共有シークレットをトンネルに割り当てます。 IPSec接続を作成するとき、またはトンネルの作成後に、各トンネルの共有シークレットを指定できます。 共有シークレットの場合、文字、数字および空白のみが許可されます。 既存のトンネル共有シークレットを変更すると、再プロビジョニング中にトンネルがダウンします。

手順は、「IPSecトンネルで使用される共有シークレットの変更」を参照してください。

接続のモニタリング

Oracle Cloud Infrastructureリソースのヘルス、容量、およびパフォーマンスをモニターするには、メトリック、アラーム、および通知を使用します。 詳細は、「モニタリング概要」および「通知概要」を参照してください。

接続のモニタリングの詳細は、「VPN接続メトリック」を参照してください。